Recopila registros del Sistema de detección de intrusiones de Cloud (IDS de Cloud)

Compatible con:

En este documento, se explica cómo exportar e transferir registros de Cloud IDS a Google Security Operations con Cloud Storage. El analizador transforma los registros de IDS de Cloud sin procesar en formato JSON de Google Cloud a un formato UDM estructurado. Extrae campos relevantes, los asigna al esquema de la UDM, clasifica los eventos y enriquece los datos con contexto adicional, como la dirección de la red y los tipos de recursos.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de que Cloud IDS esté configurado y activo en tu Google Cloud entorno.
  • Asegúrate de tener acceso con privilegios a Google Cloud y los permisos adecuados para acceder a los IDs de Cloud.

Cree un bucket de Cloud Storage

  1. Accede a la consola de Google Cloud.

  2. Ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  3. Haz clic en Crear.

  4. En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente:

    1. En la sección Primeros pasos, haz lo siguiente:

      1. Ingresa un nombre único que cumpla con los requisitos de nombre de bucket, por ejemplo, gcp-ids-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.

      3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.

      4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

    2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:

      1. Selecciona un tipo de ubicación

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.

      3. Para configurar la replicación entre buckets, expande la sección Configurar la replicación entre buckets.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.

    4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.

    5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
      2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.

  5. Haz clic en Crear.

Configura la exportación de registros de IDS de Cloud

  1. Accede a la consola de Google Cloud.
  2. Ve a Registros > Enrutador de registros.
  3. Haz clic en Crear receptor.

  4. Proporciona los siguientes parámetros de configuración:

    • Nombre del receptor: Ingresa un nombre significativo, por ejemplo, google-cloud-ids-logs-sink.
    • Sink Destination: Selecciona Cloud Storage y proporciona el Google Cloud URI del bucket de almacenamiento, por ejemplo, gs://gcp-ids-logs.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloud-ids"

  5. Haz clic en Crear.

Configura los permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio de Cloud Logging.
  3. Otorga el rol roles/storage.admin en el bucket.

Configura un feed en Google SecOps para transferir registros de IDS de Cloud

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de IDS de GCP.
  4. Selecciona Google Cloud Storage como el Tipo de fuente.
  5. Selecciona IDs de GCP como el Tipo de registro.
  6. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage; por ejemplo, gs://gcp-ids-logs.
    • URI Is A: Selecciona Directorio que incluye subdirectorios.

    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
insertId metadata.product_log_id Asignación directa
jsonPayload.alert_severity security_result.severity Asignación directa
jsonPayload.alert_time metadata.event_timestamp Asignación directa
jsonPayload.application principal.application Asignación directa, solo si la dirección es de servidor a cliente.
jsonPayload.application target.application Asignación directa, solo si la dirección es de cliente a servidor o logName contiene traffic.
jsonPayload.category security_result.category Se asignan según el valor de "jsonPayload.category":
- 'dos': NETWORK_DENIAL_OF_SERVICE
- 'info-leak': NETWORK_SUSPICIOUS
- 'protocol-anomaly': NETWORK_MALICIOUS
- 'backdoor', 'spyware', 'trojan': SOFTWARE_MALICIOUS
jsonPayload.category security_result.category_details Asignación directa
jsonPayload.cves extensions.vulns.vulnerabilities.cve_id Asignación directa, iteración en el array
jsonPayload.destination_ip_address target.ip Asignación directa
jsonPayload.destination_port target.port Asignación directa
jsonPayload.details extensions.vulns.vulnerabilities.description Asignación directa
jsonPayload.details security_result.detection_fields.value Se asigna si existe "jsonPayload.repeat_count". La clave se establece en "repeat_count".
jsonPayload.direction network.direction Se asignan según el valor de "jsonPayload.direction":
- "client-to-server": SALIENTE
- "server-to-client": ENTRANTE
jsonPayload.elapsed_time network.session_duration.seconds Asignación directa
jsonPayload.ip_protocol network.ip_protocol Asignación directa, conversión a mayúsculas y, luego, asignación al número de protocolo.
jsonPayload.name security_result.threat_name Asignación directa
jsonPayload.network principal.resource.name Asignación directa, solo si la dirección es de servidor a cliente.
jsonPayload.network target.resource.name Asignación directa, solo si la dirección es de cliente a servidor o logName contiene traffic.
jsonPayload.repeat_count security_result.detection_fields.value Se asigna si existe. La clave se establece en "repeat_count".
jsonPayload.session_id network.session_id Asignación directa
jsonPayload.source_ip_address principal.ip Asignación directa
jsonPayload.source_port principal.port Asignación directa
jsonPayload.start_time about.labels.value Se asigna si existe. La clave se establece en "start_time".
jsonPayload.start_time additional.fields.value.string_value Se asigna si existe. La clave se establece en "start_time".
jsonPayload.threat_id security_result.threat_id Asignación directa
jsonPayload.total_bytes about.labels.value Se asigna si existe. La clave se establece en "total_bytes".
jsonPayload.total_bytes additional.fields.value.string_value Se asigna si existe. La clave se establece en "total_bytes".
jsonPayload.total_packets about.labels.value Se asigna si existe. La clave se establece en "total_packets".
jsonPayload.total_packets additional.fields.value.string_value Se asigna si existe. La clave se establece en "total_packets".
jsonPayload.type security_result.detection_fields.value Se asigna si existe. La clave se establece en "type".
jsonPayload.uri_or_filename target.file.full_path Asignación directa
logName security_result.category_details Asignación directa
receiveTimestamp metadata.collected_timestamp Asignación directa
resource.labels.id observer.resource.product_object_id Asignación directa
resource.labels.location observer.location.name Asignación directa
resource.labels.resource_container observer.resource.name Asignación directa
resource.type observer.resource.resource_subtype Asignación directa
metadata.event_type Se determina mediante un conjunto de reglas condicionales basadas en la presencia y los valores de otros campos, y se establece de forma predeterminada en "GENERIC_EVENT".
metadata.vendor_name Valor estático: Google Cloud Platform.
metadata.product_name Valor estático: GCP_IDS.
metadata.log_type Valor estático: GCP_IDS.
extensions.vulns.vulnerabilities.vendor Valor estático: GCP_IDS, que se agrega para cada CVE en "jsonPayload.cves".
principal.resource.resource_type Valor estático: VPC_NETWORK, que se agrega si existe "jsonPayload.network" y la dirección es de servidor a cliente.
target.resource.resource_type Valor estático: VPC_NETWORK, que se agrega si existe "jsonPayload.network" y la dirección es de cliente a servidor, o si logName contiene traffic.
observer.resource.resource_type Valor estático: CLOUD_PROJECT, que se agrega si existe "resource.labels.resource_container" o "resource.type".
observer.resource.attribute.cloud.environment Valor estático: GOOGLE_CLOUD_PLATFORM, que se agrega si existe "resource.labels.resource_container" o "resource.type".
is_alert Es verdadero si "jsonPayload.alert_severity" es "CRITICAL"; de lo contrario, es falso.
is_significant Es verdadero si "jsonPayload.alert_severity" es "CRITICAL"; de lo contrario, es falso.

Cambios

2024-05-01

  • Se agregaron asignaciones adicionales para noun.labels obsoleto.

2023-12-13

  • Se promocionó el analizador GCP_IDS a la configuración predeterminada.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.